#实习面经##安全工程师#1.自我介绍2.面试官看我简历上写的都是 Web渗透这块的,问会测APP小程序吗? 3.SQL注入是怎么形成的?4.SQL注入有哪几种类型?5.一般怎么判断这个点是否存在注入?6.例如一个搜索框有可能存在SQL注入吗?例如像一个OA系统,有一个查询的功能,比如输入一个王,会有王**、王*.......,问这个地方是否会存在SQL注入?7.SQL注入一般能getshell吗?要怎么弄?用sqlmap的话需要什么条件?比如数据库是MySQL,获得shell需要什么条件?如果有写的权限、知道网站的绝对路径,除了sqlmap还有其它能获得shell的方法吗?8.在进行SQL注入过程中,如果有WAF的话你会怎么办,不一定是***,例如各种过滤规则,输入敏感字符就不正常显示了,返回404之类的,这种情况应该怎么办?9.XSS有哪几种类型?10.XSS有什么危害?11.如果网站设置了httponly,还能获取cookie吗?如果设置了httponly,有了解过绕过方式吗?12.XXE漏洞有了解过吗?有什么危害?13.有挖过SRC吗?14.CTF有打过吗?15.编程语言这块都了解过哪些?16.了解过反序列化漏洞吗?像Java反序列化一些组件漏洞有了解过吗?17.通用的CMS漏洞有了解过吗?例如什么蓝凌OA、致远OA有听说过吗?18.扫描器这块AWVS有用过吗?19.最后反问